18 декабря, 2018, BIS Journal №4(31)/2018

Право на ЕИСПСА


Янсон Иван

бизнес-партнер по информационной безопасности (ПАО Сбербанк)

Сотрудничество банков и операторов сотовой связи в борьбе с мошенничеством

Банки регулярно пользуются услугами операторов сотовой связи при обслуживании клиентов. Но в определённых случаях сервисы операторов могут быть использованы и злоумышленниками для атак на клиентов банков. Такие случаи привели к необходимости совместной работы банков и операторов по обеспечению безопасности своих клиентов и сервисов. Первым наиболее значимым моментом в истории совместного противодействия банков и операторов сотовой связи мошенничеству в системах дистанционного банковского обслуживания (ДБО) была история, связанная с подменой сим-карт у клиентов.

ПОДМЕНА СИМ-КАРТ

Поскольку многие системы ДБО используют для подтверждения платежей и/или для подтверждения входа в систему разовые пароли, направляемые с помощью СМС-сообщений, то появился такой вид мошенничества, как атака на клиента с использованием подмены сим-карт. В результате таких атак у мошенников оказывается мобильный номер, принадлежащий клиенту. Если они при этом сумели завладеть и другими реквизитами, то могут войти в систему ДБО от имени клиента, создать и подтвердить платежи — ведь они сами же и получат разовые пароли для подтверждения. Клиент при этом не подозревает о том, что происходит, потому что в этот момент его сим-карта неактивна, телефон молчит. Он может только обратить внимание на то, что ему долго никто не звонит. Когда клиент догадывается о проблеме, он обращается к оператору и выясняет, что у него произошла смена сим-карты. Потом он может обнаружить, что в период смены сим-карты были списаны деньги в интернет- или мобильном банке.

Таким образом, у банков появилась потребность получать информацию о смене сим-карт и запрашивать у клиента подтверждение легитимности события.

Атака методом подмены сим-карты привела и к изменениям Положения Банка России 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…». В Положении появился пункт 2.8.8, который обязывает банк в случае, если ему стало известно о признаках, указывающих на изменение получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента, приостанавливать пересылку таких сообщений и осуществление переводов в системе ДБО. К указанным признакам может быть отнесена информация о замене сим-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом.

ПЕРВЫЕ ШАГИ ПО ИНФООБМЕНУ

Для защиты платежей в системах ДБО Сбербанк и другие банки обратились к операторам сотовой связи и компаниям, через которые в то время банки в основном направляли СМС-сообщения: к так называемым СМС-агрегаторам. Произошло это в 2008 году после массовой атаки по подмене сим-карт на клиентов одного из банков. У операторов сотовой связи тогда ещё не было сервисов по отслеживанию смены сим- карт, и в целом они не были особо заинтересованы в оказании такой услуги банкам. Что касается агрегаторов, то они довольно быстро сумели предложить подходящую услугу. Суть её состояла в том, что агрегаторы могли в ответ на запрос банка предоставить хэш-значение идентификатора IMSI, который хранится на сим-карте и при смене сим-карты тоже меняется. Этот идентификатор брался из сигнальных сетей операторов, которые в то время были полностью открыты для агрегаторов. Услуга по предоставлению хэша IMSI позволяет банку отследить смену сим-карт.

Как это делается? Банк создаёт базу хэш-значений идентификаторов IMSI, и когда клиент производит операцию в системе ДБО, запрашивает у агрегатора текущее значение хэша. Если оно отличается от хранимого в базе, то возникает подозрение на смену сим-карты. В результате операция приостанавливается, и банк просит клиента подтвердить легитимность смены сим-карты лично в банковском отделении.

Минус такой интеграции в том, что банку приходится запрашивать информацию каждый раз, когда клиент совершает операцию в системе ДБО. Банку приходится платить за каждый такой запрос и нагружать ими как свои системы, так и системы агрегаторов. Но этот первый шаг по информационному обмену стал безусловным прогрессом по сравнению с полным отсутствием информации и решал задачу противодействия фроду. Кроме того, банкам было удобно интегрироваться с одним агрегатором, не озадачиваясь интеграцией со всеми операторами.

РАЗВИТИЕ ИНФООБМЕНА

Но через несколько лет (примерно в 2013-2014 годах) банки начали вести переговоры непосредственно с операторами сотовой связи. С одной стороны, у банков было желание оптимизировать затраты на получение информации и не платить за запрос хэш-значения IMSI при каждой операции в ДБО. С другой стороны, мошенники начали использовать новые способы атак на клиентов. Например, появились вирусы для смартфонов, которые умели перехватывать пароли для подтверждения операций в системах ДБО и позволяли мошенникам подтверждать несанкционированные операции, скрывая их от клиентов. Соответственно, возникла потребность в дополнительной информации, свидетельствующей о несанкционированном доступе или об управлении мобильным устройством клиента мошенниками (например, информации о заражении мобильных устройств), которой СМС-агрегаторы в принципе не располагают, так как она доступна только операторам. Кроме того, операторы стали ограничивать доступ агрегаторов к своим сигнальным сетям, в связи с чем банкам пришлось обращаться за услугой по предоставлению хэша IMSI непосредственно
к операторам.

В результате Сбербанк и другие банки вместе с операторами сотовой связи на базе нескольких банковских ассоциаций создали рабочие группы по информационному обмену в целях защиты операций клиентов в системах ДБО.

В процессе совместной работы банки и операторы определили перечень событий, потенциально свидетельствующих о доступе или управлении мобильным устройством третьими лицами. Такими индикаторами могут быть следующие события:

  • смена абонентом телефонного номера;
  • переход абонента к другому оператору;
  • изменение владельца номера;
  • переадресация голосового вызова;
  • замена сим-карты или абонентского устройства;
  • расторжение договора и приостановление оказания услуг;
  • подозрение на заражение абонентского устройства вредоносным ПО;
  • смена операционной системы мобильного устройства и самого устройства.

Причём Сбербанк и другие банки отметили, что в большинстве случаев события удобнее получать в режиме мониторинга, а не в режиме запроса, так как такой режим меньше нагружает автоматизированные системы банков и операторов и позволяет быстрее, почти в онлайн-режиме, получать информацию о потенциально рисковых событиях. Операторы и банки договорились о протоколе информационного обмена и со временем реализовали в своих системах сервисы по автоматизированному обмену информацией о перечисленных выше событиях. В настоящее время ряд банков уже ведёт инфообмен в рамках прямых договорных отношений с отдельными операторами. Однако если в технологическом плане у такого взаимодействия особых проблем не возникло, то остались неразрешёнными некоторые правовые вопросы. Речь идёт о правовом статусе передаваемой информации.

ПРАВОВОЙ СТАТУС ИНФООБМЕНА

При проработке способов информационного обмена банки и операторы рассматривали не только возможный перечень событий, которые могут свидетельствовать о нарушении безопасности мобильных устройств клиентов, и не только технологические вопросы обмена информацией о таких событиях, но и правовые вопросы. Дело в том, что информация, которую мы имеем возможность получать от операторов, может быть отнесена к сведениям об абоненте, а также к персональным данным. Участвовавшие в работе упомянутых рабочих групп по организации информационного обмена юристы операторов указали на то, что есть риск получения претензий от клиентов в связи с тем, что обмен информацией о статусе их обслуживания у операторов, о статусе и состоянии их мобильных устройств осуществляется без их согласия. Другими словами, правовой статус информации о передаваемых событиях и его трактовка стали определённым риск-фактором, который нельзя не учитывать.

Минимизировать этот риск можно, получив согласие абонента, владельца этих данных. Рабочие группы банков и операторов рассмотрели и оценили разные способы получения согласия.

Если получать его, используя собственноручную подпись, то понятно, что это будет очень неудобно и для банка, и для оператора, и для клиентов. Если добавить согласие в договор оферты о ДБО и попросить клиента подтвердить его простановкой галочки в личном кабинете системы ДБО, это тоже означало бы дополнительные действия для клиента и банка. Поэтому лучше всего было бы, если бы такое согласие не требовалось в принципе. Это позволило бы устранить лишние действия для клиентов, не ухудшать клиентский опыт и создать условия для повышения безопасности всех клиентов, а не только тех, кто согласился. В этой связи Сбербанк и инициативная группа операторов при участии Национальной платёжной ассоциации провели совместную работу по созданию законопроекта, который позволял бы осуществлять такой инфообмен в целях безопасности клиентов без получения отдельных согласий.

Это оказался довольно длинный, но интересный путь, в результате которого законопроект был разработан и отправлен на согласование в Банк России. Изменения предлагалось внести в закон «О связи», так как необходимая информация обрабатывается в автоматизированных системах операторов сотовой связи, и именно операторам в первую очередь необходимо снять вопросы правовой неопределённости. В рамках разработки законопроекта от Минкомсвязи было получено разъяснение о том, что сведения, содержащиеся в информационном обмене[1] в соответствии с требованиями федерального закона «О связи», не относятся к сведениям об абонентах. При этом ведомство отмечало, что предоставление информации о физлицах должно осуществляться с соблюдением требований федерального закона «О персональных данных».

СОЗДАНИЕ ЕИСПСА

В начале 2017 года Банк России предложил идею о создании централизованной системы информационного обмена между банками и операторами — так называемой Единой информационной системы проверки сведений об абоненте (далее ЕИСПСА). Система должна представлять собой специальный шлюз, через который передаются необходимые сведения от операторов банкам. Она сама не хранит данные, а только обеспечивает направление запросов и получение данных. В дополнение к тому перечню данных, который мы привели выше, система позволяет верифицировать данные абонента: направив запрос с номером телефона клиента, его ФИО и номером документа, удостоверяющего личность, можно получить ответ о том, совпадают ли эти сведения с хранимыми у оператора или нет. Таким образом, ЕИСПСА может использоваться не только для противодействия мошенничеству в сфере ДБО, но ещё и для расширения способов дистанционной идентификации при оказании финансовых и иных услуг (при условии достаточной консистентности данных об абонентах в базах данных операторов).

ЗАКОНОПРОЕКТ

Вместе с концепцией централизованной системы информационного обмена Банк России тогда же в 2017 году разработал законопроект об изменении закона «О связи», который вводит понятие упомянутой системы ЕИСПСА. При разработке законопроекта учитывался и упомянутый выше законопроект о прямом информационном обмене, то есть он позволяет кроме информационного обмена через ЕИСПСА и прямой обмен на основании договорных отношений между банками и операторами.

Это важно, так как прямой инфообмен уже технически реализован всеми операторами, многие банки уже сейчас используют его для защиты своих систем ДБО, и необходимо обеспечить правовую основу для его беспрепятственного использования и тиражирования.

В настоящее время законопроект внесён на рассмотрение Государственной думы как проект федерального закона № 514780-7 и опубликован на сайте проектов нормативных правовых актов. Некоторые его положения вызвали бурную дискуссию. Один из дискуссионных пунктов — введение обязанности по проверке сведений
о клиентах в ЕИСПСА при проведении процедуры упрощённой идентификации и при отправке СМС-сообщений должникам. Возражения вызывает именно обязанность. Вызвано это, в первую очередь, тем, что данные об абонентах у операторов не полностью актуальны. Происходит это по разным причинам: например, из-за того, что данные устаревают при смене паспортных данных у абонентов, из-за того, что была распространена продажа сим-карт без идентификации абонентов и без заключения
с ними договоров, а также из-за того, что многие абоненты добросовестно пользуются номерами, зарегистрированными на своих родственников.

Проблема неактуальности сведений об абонентах известна давно, и законодатели уже предприняли шаги по её решению. В июне 2017 года был издан закон № 245-ФЗ «О внесении изменений в Федеральный закон «О связи»», который направлен на обеспечение чистоты данных, имеющихся у операторов о пользователях абонентских номеров. В частности, согласно данному закону с июня 2018 года предусмотрена обязанность запрашивать данные абонентов при заключении договоров и проводить проверку их достоверности. При этом согласие на передачу персональных данных оператору связи не требуется. В целях проверки операторам связи обеспечен доступ к единой системе идентификации и аутентификации, единому порталу госуслуг, другим информационным системам госорганов. Сейчас операторы актуализуют данные и по ранее заключённым договорам, используя ресурсы госорганов через СМЭВ. Но очевидно, что операторам понадобится время на актуализацию данных. Кроме того, остаётся случай добросовестных граждан, которые используют номера своих родственников — о таких случаях государственные базы, включая базу МВД
о паспортах, ничего не знают. Всё-таки номер телефона пока ещё не является идентификатором, по которому можно точно установить гражданина. А может быть, никогда таковым и не станет.

Следовательно, при введении обязанности проверки сведений при упрощённой идентификации мы вынуждены будем отказывать части клиентов в проведении операций, при отправке СМС-сообщений должникам не будем оповещать часть клиентов о важной для них и для банка информации. Соответственно, это вызовет отрицательный клиентский опыт в одном случае, а в другом случае может привести
к росту просроченной задолженности и даже, может быть, к росту мошенничества.

Кроме того, услуга проверки сведений через ЕИСПСА платна. Очевидно, что операторам потребуется провести интеграцию своих систем с системой ЕИСПСА, а далее им потребуются средства для сопровождения работы с этой системой. Аналогичным образом стартовые и регулярные расходы будут и у самого оператора ЕИСПСА. Применение сервиса не всегда может быть экономически оправдано. Дополнительные затраты банка могут привести к ухудшению тарифов за оказание услуг для клиентов.

КАК ДОПОЛНИТЕЛЬНЫЙ ИСТОЧНИК

Вместе с тем, на наш взгляд, возможность проверки сведений об абонентах может быть полезна банкам как дополнительный источник информации при работе скоринговых и антифрод-систем.

В случае несовпадения данных у оператора и банка можно было бы включать дополнительные контрольные процедуры при подключении услуг, привязанных к конкретным номерам телефонов (например, таких как СМС-банкинг, СМС-оповещение об операциях и т. п.), тем самым проактивно обеспечивая безопасность клиентов и/или банка. Информация операторов об абонентах-клиентах может использоваться в работе антифрод-систем, чтобы улучшить модели этих систем, точнее выявлять мошенников и их активности, снизить число ложных срабатываний и затраты на контроль операций.

Такой сервис потенциально можно использовать и для развития дистанционных услуг. Например, в случае совпадения данных о клиенте, введённых в кредитной заявке, с имеющимися по номеру телефона у оператора, можно было бы дистанционно получать согласие клиента на запрос банком о нём кредитной истории в бюро кредитных историй с помощью его телефона (получив от него ответное СМС-сообщение о согласии).

Кроме того, создание ЕИСПСА обеспечит банки универсальным интерфейсом доступа для работы с операторами. Это большой технологический плюс для всего сообщества, так как даже крупным банкам не под силу напрямую работать со всеми операторами. Появление ЕИСПСА также способствовало бы стандартизации протоколов информационного обмена. Использование опыта крупных операторов и банков может снизить стартовые затраты на создание системы и интеграцию с ней.

В этой связи мы считаем, что целесообразно создать ЕИСПСА, предоставив банкам право (не обязанность!) работы с данной системой. Также однозначно поддерживаем закрепление права банков и операторов на осуществление информационного обмена перечисленными в настоящей статье видами событий как через ЕИСПСА, так и в рамках прямых договорных отношений, в целях обеспечения безопасности клиентов при работе в системах ДБО. Таким образом, мы предлагаем доработать законопроект с учётом озвученных замечаний и в адаптированном виде утвердить его. Наличие нового закона и создание новой системы позволит банкам и операторам сотовой связи совместно на качественно новом уровне повысить безопасность предоставляемых клиентам дистанционных банковских услуг.

[1] Имеются в виду сведения, перечисленные в настоящей статье.

 

Подпишись на новости!
Подписаться